В зависимости от Ваших требований к удаленному доступу, Вы можете развернуть службы коммутируемого доступа и VPN как на одном компьютере, так и на отдельных, специально выделенных для этих целей серверах. В примерах, рассматриваемых в этом документе, мы будем настраивать компьютер, работающий под управлением OC Windows 2000 Server, который планируется использовать в качестве сервера удаленного доступа и VPN-сервера.
По рекомендациям корпорации Microsoft желательно, чтобы службы контроллера домена и удаленного доступа/VPN-шлюза, работали на разных компьютерах. Для обеспечения должного уровня безопасности Вашего сервера удаленного доступа в операционной системе Windows 2000 предусмотрена возможность фильтрации нежелательных пакетов, получаемых Вашим сервером. Также, использование отдельного VPN-сервера позволяет увеличить его загрузку, а именно поддержку большего количества клиентов или же применение дополнительных конфигурационных настроек, как например, маршрутизация вызова по требованию или маршрутизация локальной сети. Если Вы все же решите в качестве VPN-шлюза использовать контроллер домена, то по рекомендациям корпорации Microsoft Вам следует ознакомиться с разделом справочной системы Windows 2000, посвященной VPN-фильтрам и хорошо понимать фильтрацию протокола IP.
Активирование удаленного доступа на сервере подключения к Интернету
Компьютер, работающий под управлением ОС Windows 2000 Server, может быть сконфигурирован в качестве сервера, предоставляющего доступ локальным сетевым клиентам к Интернету. Этот сервер подключения к Интернету может быть использован также в качестве сервера удаленного доступа.
1.
Откройте оснастку Маршрутизация и удаленный доступ (Routing and Remote Access), находящуюся в разделе Администрирование (Administrative Tools) меню Пуск (Start).
2.
Щелкните правой кнопкой мыши по контейнеру сервера (в нашем примере, LITWARE-1) и в контекстном меню выберите команду Свойства (Properties).
3.
Проверьте, установлен ли флажок Сервер удаленного доступа (Remote Access Server) и нажмите кнопку OK.
Теперь Ваш сервер подключения к Интернету также способен поддерживать удаленный доступ и VPN.
Настройка служб удаленного доступа
Для того чтобы настроить компьютер, работающий под управлением ОС Windows 2000 Server, и выступающий в качестве сервера удаленного доступа и VPN-шлюза, необходимо выполнить следующую процедуру:
1.
Нажмите кнопку Пуск (Start), перейдите в раздел Администрирование (Administrative Tools) и откройте оснастку Маршрутизация и удаленный доступ (Routing and Remote Access).
Если Вы впервые открываете эту оснастку, то на левой панели Вы увидите название Вашего сервера, а на правой – небольшую инструкцию.
Рисунок 4 – Оснастка Маршрутизация и удаленный доступ (Routing and Remote Access)
2.
Чтобы запустить мастер настройки Вашего сервера, щелкните правой кнопкой мыши по контейнеру сервера и в контекстном меню выберите команду Настроить и включить маршрутизацию и удаленный доступ (Configure and Enable Routing and Remote Access).
3.
На странице приветствия мастера нажмите кнопку Далее (Next).
4.
На следующей странице Вам будет предложено выбрать типовую конфигурацию сервера.
Установите переключатель в положение Сервер удаленного доступа (Remote Access Server) и нажмите кнопку Далее (Next). При создании выделенного VPN-сервера необходимо воспользоваться типовой конфигурацией Сервер виртуальной частной сети (VPN) (Virtual private network (VPN) server). Для того чтобы сконфигурировать сервер, поддерживаемый как коммутируемый удаленный доступ, так и VPN, мы должны использовать типовую конфигурацию Сервер удаленного доступа (Remote access server).
6.
Вы увидите список сетевых протоколов для удаленных клиентов. Поскольку Вы используете сеть на основе TCP/IP, в которой работают DHCP и DNS серверы, ранее установленные при развертывании службы каталогов Active Directory, то протокол TCP/IP уже будет перечислен в этом списке. Для продолжения нажмите кнопку Далее (Next).
7.
Поскольку мы настраиваем VPN-сервер, у которого имеется два сетевых интерфейса, то Вам будет предложено выбрать, какой сетевой интерфейс предназначен для удаленных клиентов. Выберите сетевой интерфейс, подключенный к Вашей локальной сети (а не к сети Интернет). Для продолжения нажмите кнопку Далее (Next).
8.
Далее Вам будет задан вопрос о назначении IP-адресов. Вы должны убедиться, что переключатель установлен в положение по умолчанию Автоматически (Automatically), либо установить его, после чего сервер будет использовать существующий сервер DHCP для назначения IP-адресов Вашим клиентам удаленного доступа при их подключении. Для продолжения нажмите кнопку Далее (Next).
9.
Далее Вам будет задан вопрос об использовании RADIUS-сервера для проверки подлинности. RADIUS-серверы могут быть использованы для управления процессами проверки подлинности и для настройки групповой политики удаленного доступа. В этом руководстве для проверки подлинности удаленных клиентов используются возможности службы каталогов Active Directory. Убедитесь, что переключатель установлен в положение по умолчанию - Нет (No), иначе установить его, и нажмите кнопку Далее (Next) для продолжения.
10.
На последней странице мастера Вам будет сообщено о том, что Вы успешно настроили сервер удаленного доступа. Для завершения работы мастера нажмите кнопку Готово (Finish).
Если Вы выполнили вышеописанную процедуру, то теперь в Вашем распоряжении имеется сервер, поддерживающий как удаленный доступ, так и VPN. Мастер автоматически настроит все Ваши модемы и ISDN-адаптеры, которые используются для подключения удаленных клиентов. Так же будут сконфигурированы пять подключений PPTP и пять подключений L2TP/IPSec. На рисунке, приведенном ниже, показана оснастка Маршрутизация и удаленный доступ (Routing and Remote Access) сервера, имеющего ISDN-адаптер и восемь модемов, подключенных к мультипортовой карте, после использования мастера с настройками по умолчанию.
Рисунок 6 – Сервер, сконфигурированный с использованием мастера установки сервера маршрутизации и удаленного сервера
Примечание. Поскольку для создания VPN-сервера, использующего протокол L2TP, требуется, чтобы был установлен сертификат компьютера, текущая конфигурация не будет поддерживать L2TP-подключения. Данное руководство ограничивается описанием VPN-сервера, поддерживающего PPTP-подключения и не поддерживающего протокол L2TP. Если Вы не планируете использовать протокол L2TP, то по соображениям безопасности желательно отключить поддержку L2TP, выполнив следующие инструкции.
Если Вы не планируете осуществлять поддержку виртуальных частных сетей (VPN) в настоящее время, Вы можете изменить настройки по умолчанию и удалить поддержку L2TP- и PPTP-подключений. Также, в случае необходимости, Вы можете увеличить число доступных PPTP-подключений. Если Вы планируете задействовать некоторые модемы для конкретных целей (например, для приема факсов с использованием службы факсов), то Вы можете использовать ограниченное число модемов для создания коммутируемых подключений. Для достижения этого Вам необходимо щелкнуть правой кнопкой по контейнеру Порты (Ports), находящемуся в дереве консоли Маршрутизация и удаленный доступ (Routing and Remote Access), и в контекстном меню выбрать команду Свойства (Properties).
Рисунок 7 – Диалоговое окно свойств объекта Порты (Ports Properties)
Вы можете выбрать нужный порт модема и нажать кнопку Настроить (Configure). В появившемся диалоговом окне Вы можете отключить либо включить модем или ISDN-порт для входящих подключений удаленного доступа. Вы можете выбрать один из двух типов подключения (PPTP или L2TP) и нажать кнопку Настроить (Configure). В диалоговом окне Configure Device (Настройка устройства) Вы можете указать количество доступных подключений (для параллельного порта возможно только одно подключение), а также полностью отключить или включить конфигурируемый порт.
Примечание. Чтобы отключить поддержку L2TP-подключений, о чем говорилось выше, Вы должны сконфигурировать свойства объекта WAN Miniport (L2TP) в соответствии с нижеприведенным рисунком.
После окончания настройки Ваш сервер будет готов принимать подключения удаленных клиентов, использующих коммутируемый доступ или VPN-подключения. Далее Вам будет необходимо задать разрешения удаленного доступа для определенных пользователей, которые должны иметь возможность подключения.
Для того чтобы удаленные пользователи могли подключаться к Вашей сети, используя VPN-подключения или коммутируемый доступ, Вы должны предоставить им разрешения удаленного доступа.
1.
Нажмите кнопку Пуск (Start), выберите Программы (Programs), перейдите в раздел Администрирование (Administrative Tools) и откройте оснастку Active Directory – Пользователи и компьютеры (Active Directory Users and Computers).
2.
Раскройте контейнер Users, который находится в дереве консоли Вашего домена, (в данном примере, домена litware.net).
Рисунок 9 – Учетные записи пользователей контейнера Users
3.
Щелкните правой кнопкой мыши по объекту учетной записи пользователя, которому необходимо предоставить разрешения удаленного доступа, и выберите Свойства (Properties). В нашем примере эта учетная запись пользователя «Ras User».
4.
Перейдите на вкладку Входящие звонки (Dial-in). На этой вкладке Вы можете установить переключатель либо в положение Разрешить доступ (Allow access), либо в положение Запретить доступ (Deny access) для управления соответствующими разрешениями удаленного доступа к Вашей сети. Кроме того, на этой вкладке Вы можете изменить настройки, показанные на следующем рисунке.
Также Вы можете настроить и другие дополнительные параметры для каждой учетной записи пользователя. За дополнительной информацией об использовании различных настроек учетных записей пользователей обратитесь к справочной системе Windows 2000.
Настройка и развертывание клиентов удаленного доступа
Обзор
Пользователям ОС Windows 2000 предоставлена возможность гибкого конфигурирования клиентского коммутируемого подключения посредством мастера сетевого подключения (New Connection Wizard). Также можно воспользоваться клиентскими подключениями коммутируемого доступа, предварительно сконфигурированных администратором. Без использования средств централизованного конфигурирования клиентов удаленного доступа масштабное развертывание системы удаленного доступа может оказаться довольно сложным. Хотя этот раздел посвящен настройке индивидуальных клиентов удаленного доступа с использованием мастера сетевых подключений (New Connection Wizard), в ОС Windows 2000 Server имеется пакет администрирования диспетчера подключений (Connection Manager Administration Kit, CMAK). Это пакет предназначен администраторам для создания предварительно настроенных клиентов удаленного доступа, включающих такие необходимые данные, как телефонная книга, файлы справки и приложения пользователей. Если же Вы планируете развернуть большое количество клиентов удаленного доступа, то Вы можете пропустить этот раздел и воспользоваться справочной системой Windows 2000, либо обратиться к руководству, описывающему работу пакета администрирования диспетчера подключений.
Создание клиентского подключения удаленного доступа
Для того чтобы удаленные клиенты могли подключаться к Вашей сети, они должны настроить на своих компьютерах подключения удаленного доступа или подключения к виртуальной частной сети.
Для создания коммутируемого подключения удаленного доступа на компьютере удаленного пользователя, работающем под управлением ОС Windows 2000 Professional, Вам необходимо выполнить следующую процедуру.
1.
Убедитесь, что соответствующий модем или ISDN-адаптер корректно установлен, аналогично тому, как если бы Вы устанавливали такое же оборудование на сервере удаленного доступа.
2.
Нажмите кнопку Пуск (Start), откройте Панель управления (Control Panel) и откройте компонент Сеть и удаленный доступ к сети (Network and Dial-Up Connections).
3.
Установите переключатель в положение Создание нового подключения (Make New Connection). Находясь на странице приветствия, нажмите кнопку Далее (Next). Вы окажитесь на странице выбора типа сетевого подключения, которая изображена ниже.
Если Вы создаете удаленное подключение, использующее модем или ISDN, установите переключатель в положение Телефонное подключение к частной сети (Dial-up to private network) и для продолжения нажмите кнопку Далее (Next).
5.
Введите номер телефона, который необходимо использовать для подключения к Вашему серверу удаленного доступа, и для продолжения нажмите кнопку Далее (Next).
6.
Установите переключатель в положение Для всех пользователей (Create the connection for all users). Это позволит всем пользователям, работающим на этом компьютере, использовать создаваемое подключение.
7.
Если Вам будет предложено разрешить использовать это подключение для совместного доступа к Интернету (положение Совместный доступ к Интернет (Internet Connection Sharing)), выберите Нет (No).
8.
Задайте имя подключения и нажмите кнопку Готово (Finish).
Создание клиентского подключения к виртуальной частной сети
Создание VPN-подключения состоит из двух этапов: первый этап - подключение к Интернету и второй этап - подключение к VPN-шлюзу компании. Если Вы уже используете выделенное подключение, такое как DSL, Вам остается только сконфигурировать VPN-подключение к VPN-шлюзу. Если же в Вашем распоряжении имеется аналоговый модем, Вам предварительно потребуется настроить подключение к Интернету.
1.
Нажмите кнопку Пуск (Start), откройте Панель управления (Control Panel) и откройте компонент Сеть и удаленный доступ к сети (Network and Dial-Up Connections).
2.
Выберите команду Создание нового подключения (Make New Connection). Находясь на странице приветствия, нажмите кнопку Далее (Next). Вы окажитесь на странице выбора типа сетевого подключения, которая изображена ниже.
Установите переключатель в положение Телефонное подключение к Интернету (Dial-up to the Internet) и нажмите кнопку Далее (Next) для продолжения.
4.
В открывшемся окне мастера подключения к Интернету установите переключатель в положение Настроить подключение к Интернету вручную или подключиться к Интернету через локальную сеть (I want to set up my Internet manually, or I want to connect through a local area network (LAN)), и нажмите кнопку Далее (Next).
5.
Установите переключатель в положение Я подключаюсь к Интернету через телефонную линию и модем (I connect through a phone line and a modem) и нажмите кнопку Далее (Next).
6.
Введите телефонный номер доступа к Интернету через Вашего поставщика услуг Интернета и нажмите кнопку Далее (Next).
7.
Введите имя пользователя и пароль, выданные Вашим поставщиком услуг Интернета, и нажмите кнопку Далее (Next).
8.
Введите имя для Вашего телефонного подключения (например, Dial-up ISP) и нажмите кнопку Далее (Next). Поскольку для настройки VPN-подключения Вам не понадобится электронная почта, то установите переключатель в положение Нет (No) на странице мастера, где будет предложено настроить электронную почту, нажмите кнопку Далее (Next), после чего нажмите кнопку Готово (Finish) для завершения настройки подключения к Интернету.
9.
Теперь Вам будет необходимо создать VPN-подключение, которое будет работать через коммутируемое подключение к Интернету. Для этого нажмите кнопку Пуск (Start), откройте Панель управления (Control Panel) и откройте компонент Сеть и удаленный доступ к сети (Network and Dial-Up Connections).
10.
Установите переключатель в положение Создание нового подключения (Make New Connection). Находясь на странице приветствия, нажмите кнопку Далее (Next). На странице выбора типа сетевого подключения установите переключатель в положение Подключение к частной виртуальной сети через Интернет (Connect to a private network through the Internet) и нажмите кнопку Далее (Next).
Установив переключатель в положение Набрать номер для следующего предварительного подключения (Automatically dial this initial connection), как это изображено на рисунке ниже, Вы сможете подключаться к Интернету, используя телефонное подключение к Интернету, настройка которого была рассмотрена выше. Если Вы имеете выделенное подключение к Интернету, например кабельный модем или DSL, то Вам не нужно выполнять это действие.
Завершите работу мастера, выполнив этапы, которые были перечислены выше в описании процедуры создания телефонного подключения.
Теперь Вы создали либо коммутируемое подключение, либо VPN-подключение, с помощью которого пользователи могут удаленно подключаться к Вашей сети. Щелкните правой кнопкой мыши по объекту Мое сетевое окружение (My Network Places) и выберите команду Свойства (Properties). Дважды щелкнув по объекту созданного Вами подключения, Вам будет автоматически предложено подключиться к Вашему поставщику услуг Интернета через коммутируемое подключение. После выполнения процедуры проверки подлинности при подключении к Интернету через Вашего провайдера Вы будете подключены к Вашему VPN-шлюзу. Вы должны будете ввести имя и пароль, чтобы получить доступ к Вашей сети. После аутентификации в Вашей сети Вы получите доступ ко всем ресурсам, также как, если бы Вы использовали обычное подключение к сети.
Примечание. Используя пакет администрирования диспетчера подключений (CMAK), Вы можете автоматизировать процесс настройки подключений удаленных пользователей. При этом Вы избавитесь от необходимости конфигурирования двух клиентских подключений и использования различных учетных данных.
Если Ваши пользователи до сих пор используют компьютеры, работающие под управлением ОС Windows 98 или Windows NT 4.0, Вам потребуется настроить телефонное подключение или VPN-подключение в соответствии с описанными в справочной системе процедурами. Кроме того, убедитесь, что Вы используете соответствующее настроенное оборудование, которое позволяет создать телефонные подключения. Заметим, что ОС Windows 98 и Windows NT 4.0, в отличие от клиентов, работающих под управлением ОС Windows 2000, не устанавливают автоматическую поддержку технологии виртуальных частных сетей, поэтому убедитесь, что перед выполнением настройки клиентов установлены необходимые службы.
Этот документ предназначен помочь настроить удаленный доступ Ваших клиентов к частной сети с использованием службы маршрутизации и удаленного доступа (Routing and Remote Access), которая входит в состав OС Windows 2000 Server. Служба маршрутизации и удаленного доступа имеет множество дополнительных возможностей, которые не описаны в данном документе, но позволят Вам использовать различные дополнительные конфигурации удаленного доступа.
ОС Windows 2000 является надежной и масштабируемой платформой, обеспечивающей взаимодействие и сетевые решения, необходимые для эффективного ведения Вашего бизнеса. Предприятия малого и среднего бизнеса могут воспользоваться этим документом при создании подключений удаленных пользователей к своим сетям.